Cybersicurezza
Docker nel mirino, nuova campagna malware che sfrutta le API esposte
Akamai individua un malware che sfrutta le API Docker esposte: dall’iniziale mining su Tor si evolve in un attacco persistente, capace di bloccare concorrenti e aprire la strada a botnet globali
Il team di ricerca Akamai Hunt ha identificato una nuova campagna di malware contro Docker, capace di sfruttare le API esposte a internet con tecniche più avanzate rispetto alle precedenti. Questa variante rappresenta un salto di qualità significativo: non solo compromette i container vulnerabili, ma garantisce anche persistenza e controllo esclusivo sulle macchine infette, impedendo l’accesso ad altri attaccanti.
Dal cryptomining alla botnet
La prima segnalazione del malware, risalente a giugno 2025 e attribuita a Trend Micro, descriveva uno strumento impiegato principalmente per il cryptomining, con comunicazioni camuffate tramite la rete Tor. Oggi, invece, il codice malevolo mostra capacità più sofisticate: blocca l’accesso concorrente alle API Docker compromesse, elimina eventuali altre infezioni e prepara l’infrastruttura per la creazione di una botnet potenzialmente estesa. Si tratta di un’evoluzione che rende la minaccia molto più complessa da contenere.
Tecniche di attacco sempre più sofisticate
L’analisi del team Hunt ha svelato un arsenale di strumenti avanzati. Il malware sfrutta software come masscan per individuare nuove Docker API esposte e, una volta ottenuto il controllo, chiude la porta 2375 per evitare intrusioni esterne. Non si limita però a questo: tenta anche di compromettere altre porte critiche, tra cui Telnet (23) e il debugger remoto di Chrome (9222). Inoltre, le comunicazioni con i server di comando e controllo avvengono attraverso la rete Tor, aumentando l’anonimato e la difficoltà di tracciamento.
Raccomandazioni di sicurezza
Per mitigare i rischi, Akamai suggerisce un approccio multilivello. Le organizzazioni dovrebbero segmentare le reti isolando i servizi Docker da quelli pubblicamente accessibili, consentire connessioni solo quando strettamente necessario e sostituire le credenziali predefinite con password robuste. Particolare attenzione va riservata alla protezione di porte delicate come la 9222 di Chrome, che può rappresentare un punto d’ingresso privilegiato per gli aggressori. Queste misure, se adottate in maniera proattiva, riducono notevolmente la superficie d’attacco.
L’importanza della threat intelligence
L’indagine di Akamai dimostra ancora una volta come la threat intelligence basata su scenari reali sia fondamentale per contrastare minacce in continua evoluzione. Grazie a una rete globale di honeypot, l’azienda riesce a monitorare costantemente le nuove tecniche utilizzate dai cybercriminali e a fornire ai clienti difese sempre aggiornate. Il monitoraggio proattivo rimane l’elemento chiave per anticipare e neutralizzare campagne di questo tipo, che mirano a trasformare servizi esposti in veri e propri vettori di attacco.
Continua a leggere le notizie di Diario Innovazione e segui la nostra pagina Facebook
Threat Intelligence, come anticipare gli attacchi cyber più avanzati
Errori umani e AI, la nuova strategia di sicurezza di Mimecast e SentinelOne
Oltre le password, perché i criminali inseguono firme digitali e identità facciali
Sicurezza mobile, il futuro è l’approccio prevention-first
Colazione cashless: in Italia pagamenti digitali al bar +42% nel 2025
Fintech, Tot raccoglie € 7mln per digitalizzare la finanza delle PMI italiane
Docker nel mirino, nuova campagna malware che sfrutta le API esposte
Dal Wi-Fi 4 al 7: a che punto siamo davvero?
Cyber resilienza: come le PMI possono vincere la sfida NIS2
